Analise URLs recebidos por email
Este documento descreve como criar um fluxo de trabalho de automatização de segurança que extrai e analisa URLs de emails recebidos para detetar phishing ou links maliciosos. Este processo garante que todos os links perigosos são neutralizados antes de representarem um risco, permitindo que o seu manual de procedimentos tome medidas imediatas, como bloquear o URL ou colocar o email em quarentena.
Antes de começar
Tem de ter a seguinte integração instalada e configurada no seu ambiente:
- Integração de email: Microsoft Graph Mail ou Gmail (para ler e extrair dados do email/alerta).
- Integração de reputação: VirusTotal ou uma ferramenta de análise de URLs semelhante.
Para analisar URLs recebidos por email, tem de configurar um conector que monitorize uma caixa de correio eletrónico (com as integrações Email ou Exchange).
Crie a lógica de análise no seu manual
Siga os passos abaixo para criar a lógica de análise no seu manual de soluções:
- Use a ação da integração de email (por exemplo,
Gmail_Enrich Email
) para obter o corpo completo do email ou os dados do evento. Use o criador de expressões para analisar o email e extrair os URLs específicos que quer analisar. Para ver detalhes, consulte o artigo Use o criador de expressões.
Quando os emails começam a chegar ao SOAR do Google Security Operations, o respetivo conteúdo pode ser analisado pela funcionalidade de mapeamento ou extraído pela ação do manual de procedimentos Criar entidade (se os manuais de procedimentos estiverem anexados aos emails recebidos). - Adicione a ação selecionada (por exemplo,
VirusTotal_Scan
URL) e use um marcador de posição para introduzir o URL extraído do passo anterior. - Adicione um fluxo de condição imediatamente após a ação de leitura. Para ver detalhes, consulte o artigo Use fluxos em manuais de soluções.
- Configure as ramificações da condição para avaliar o resultado JSON da análise de reputação:
- Ramo 1 (malicioso): se
Scan Result
for denunciado como malicioso (por exemplo, pontuação > 5 ou um motor específico encontrou uma ameaça). - Branch 2 (Limpo/Desconhecido): se
Scan Result
estiver limpo ou se a condição não encontrar indicadores maliciosos.
Depois de extrair todos os URLs, pode usá-los em ações manuais e em manuais de procedimentos.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.